EP1638285B1 - Appareil et procédé pour l'attribution dynamique d'un agent local externe pour des réseaux privés virtuels - Google Patents

Claims (23)

1. Procédé destiné à assigner de manière dynamique un agent local externe, x-HA, pour des réseaux privés virtuels mobiles, VPN, le procédé comprenant les étapes consistant à établir un VPN entre au moins un réseau externe et un réseau interne et à permettre au moins à un noeud mobile, MN, de se déplacer dans les réseaux externes en sécurité, le procédé comprenant les étapes suivantes :

   le MN envoie un message de demande d'enregistrement, Reg-Req, à un agent étranger externe, x-FA, lorsque le MN se déplace vers le réseau externe pour la première fois, dans lequel le message Reg-Req comprend des champs qui comprennent une demande d'adresse locale externe, x-HoA, et une demande d'adresse d'agent local externe, x-HA ;

   le x-FA envoie un message de demande de noeud mobile AA, AMR, à un serveur AAA étranger, AAAF, le serveur AAAF remplissant l'identifiant d'accès au réseau, NAI, d'un candidat x-HA dans le message AMR et envoyant le message AMR à un serveur local AAA, AAAH, AAA signifiant authentification, autorisation et comptabilité ;

   le serveur AAAH établi des association de sécurité, SA, parmi le candidat x-HA, le x-FA et le MN et génère un message de demande MIP d'agent local, HAR, à envoyer au x-HA ;

   le x-HA assigne une adresse locale externe, x-HoA, pour le MN et remplissant la x-HoA et son adresse dans un message de réponse MIP d'agent local, HAA, le x-HA envoyant alors le message HAA au serveur AAAH ;

   le serveur AAAH utilise une adresse interne de tunnel de VPN préconfigurée, VPN-TIA, comme adresse temporaire interne, CoA, du MN pour un enregistrement auprès du HA interne, i-HA, 1' i-HA autorisant le serveur AAAH à envoyer un message de réponse de noeud mobile AA, AMA, au x-FA ; et

   le x-FA obtient un message de réponse d'enregistrement à partir du message AMA et qui contient la x-HoA et l'adresse du HA ; et envoie le message de réponse d'enregistrement au MN ;

   grâce à quoi lorsque le MN se déplace dans le réseau externe, le MN utilise la x-HoA pour l'enregistrement auprès d'un x-HA assigné avec l'adresse du x-HA, grâce à quoi le MN s'enregistre auprès du x-HA le plus proche lors d'un déplacement dans le réseau externe.
2. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, dans lequel le MN est un ordinateur portable doté d'un équipement de réseau sans fil.
3. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, comprenant en outre, avant que le MN ne se déplace dans le réseau externe pour la première fois, l'étape suivante :

   le x-FA envoie un message de publicité et d'intervention au réseau externe pour demander si un MN quelconque se déplace dans le réseau externe.
4. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, dans lequel le message de demande d'enregistrement comprend des informations d'authentification du AAAH et un identifiant d'accès au réseau, NAI, du MN.
5. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, dans lequel le message de demande d'enregistrement comprend des champs qui comprenant une adresse locale, HoA, et une adresse de HA, dans lequel la HoA et l'adresse du HA sont fixées à 0.0.0.0.
6. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, comprenant en outre, une fois que le MN s'est déplacé dans le réseau externe pour la première fois, les étapes suivantes :

   lors de la réception d'un message de demande d'enregistrement, le x-FA génère une paire de valeurs d'attributs, AVP, de vecteur de caractéristique MIP en validant les drapeaux de demande d'adresse locale et de demande d'agent local ; et

   fixer l'AVP de vecteur de caractéristiques MIP au message de demande d'enregistrement.
7. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, comprenant en outre l'étape suivante, une fois que le x-FA a envoyé le message AMR ;
   le serveur AAAH reçoit le message AMR par l'intermédiaire du serveur AAAF et connaît une politique de sécurité du MN grâce à un index de paramètre de sécurité MIP-MN-AAA-SPI, dans le message AMR.
8. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, comprenant en outre les étapes secondaires suivantes dans l'étape où le serveur AAAH établit une SA :

   le serveur AAAH génère des nombres aléatoires de 128 bits au moins qui sont utilisés comme matériels de clé, les matériels de clé étant utilisés de manière à obtenir les clés de session requises pour établir les SA ; et

   encapsuler les clés de session dans le message HAR.
9. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, dans lequel dans l'étape où le serveur AAAH établit une SA, le message HAR est envoyé au x-HA par l'intermédiaire du serveur AAAF.
10. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, dans lequel dans l'étape où le serveur AAAH établit une SA, le message HAR comprend une clé MIP HA vers FA qui contient une clé de session de xHA-xFA, une clé MIP MN vers FA qui contient un nonce MN-xFA, une clé MIP MN vers HA qui contient contenant un nonce MN-xHA, une clé MIP Ha vers MN qui contient une clé de session MN-xHA.
11. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, dans lequel dans l'étape où le x-HA assigne une x-HoA pour le MN, le message HAA est envoyé au serveur AAAH par l'intermédiaire du serveur AAAF.
12. Procédé destiné à assigner de manière dynamique un agent local externe selon la revendication 1, comprenant en outre l'étape secondaire suivante dans l'étape consistant à envoyer le message de réponse d'enregistrement au MN :

    le MN se connecte à une passerelle du VPN en utilisant la x-HoA de telle sorte qu'un canal IPsec soit établi entre le MN et la passerelle du VPN.
13. Système destiné à assigner de manière dynamique un agent local externe, x-HA, pour des réseaux privés virtuels mobiles, VPN, le système comprenant au moins un réseau externe et un réseau interne et le système établissant un VPN entre ledit au moins un réseau externe et ledit réseau interne et permettant au moins à un noeud mobile, MN, de se déplacer dans les réseaux externes en sécurité, le système comprenant :

    un agent local interne, i-HA, disposé dans le réseau interne et gérant un enregistrement de déplacement du MN quand il se déplace dans le réseau interne ;

    au moins un agent local externe, x-HA, disposé dans le réseau externe et gérant un enregistrement de déplacement du MN quand il se déplace dans le réseau externe ;

    une passerelle de VPN qui établit un canal IPsec entre le réseau interne et le MN de manière à assurer une connexion sécurisée du MN au réseau interne lorsque le MN se déplace dans le réseau externe ;

    au moins un dispositif d'assignation d'agent, serveur d'authentification, d'autorisation et de comptabilité, AAA, destiné à assigner de manière dynamique et sécurisé le x-HA fiable le plus proche du MN authentifié et autorisé pour gérer l'inscription l'enregistrement de déplacement du MN ;

    au moins un agent étranger externe, x-FA, destiné à gérer un enregistrement de déplacement du MN par rapport au x-HA, au dispositif d'assignation d'agent, AAAH, et au i-HA lorsque le MN se déplace vers le réseau externe pour la première fois et à établir un canal IPsec entre le MN et la passerelle du VPN, grâce à quoi le MN s'enregistre auprès du x-HA le plus proche quand il se déplace dans le réseau externe.
14. Système destiné à assigner de manière dynamique un agent local externe selon la revendication 13, dans lequel le réseau externe comprend une pluralité de réseaux secondaires.
15. Système destiné à assigner de manière dynamique un agent local externe selon la revendication 13, dans lequel le réseau interne comprend une pluralité de réseaux secondaires.
16. Système destiné à assigner de manière dynamique un agent local externe selon la revendication 13, dans lequel le MN est un ordinateur portable doté d'un équipement de réseau sans fil.
17. Système destiné à assigner de manière dynamique un agent local externe selon la revendication 13, dans lequel la passerelle du VPN et le dispositif d'assignation d'agent, AAAH, sont placés dans une zone démilitarisée, DMZ, la DMZ étant une région physique derrière Internet et devant une deuxième barrière de sécurité destinée à protéger le système dorsal de traitement et les données.
18. Système destiné à assigner de manière dynamique un agent local externe selon la revendication 17, dans lequel la DMZ est connectée au réseau interne par l'intermédiaire d'un routeur interne et est connectée au réseau externe par l'intermédiaire d'un routeur externe.
19. Système destiné à assigner de manière dynamique un agent local externe selon la revendication 13, dans lequel le dispositif d'assignation d'agent est l'un d'un serveur AAA, d'un serveur DHCP et d'un serveur DNS.
20. Système destiné à assigner de manière dynamique un agent local externe selon la revendication 19, dans lequel le serveur AAA établit une association de sécurité, SA, pour des agents dans un réseau qui se déplace et qui est utilisé comme centre de distribution de clés, KDC, en plus de l'assignation du x-HA.
21. Système destiné à assigner de manière dynamique un agent local externe selon la revendication 20, dans lequel le serveur AAA est un serveur DIAMETER IETF RFC 3588.
22. Système destiné à assigner de manière dynamique un agent local externe selon la revendication 13, comprenant en outre au moins un agent étranger interne, i-FA, connecté au moins à un réseau secondaire dans le réseau interne, grâce à quoi le MN s'enregistre auprès du i-HA par l'intermédiaire du i-FA quand il se déplace dans le réseau interne.
23. Système destiné à assigner de manière dynamique un agent local externe selon la revendication 13, comprenant en outre au moins un point d'accès sans fil, WAP, disposé dans le réseau interne ou dans le réseau externe et utilisé de manière à fournir un accès sans fil pour le MN.

Images